Synchronizacja czasu w domenie - jak ustawić i dlaczego to takie ważne?
W Active Directory synchronizacja czasu ma ogromne znaczenie, choćby ze względu na czas ważności biletu Kerberos wykorzystywanego do uwierzytelnienia. Z tego względu czas na wszystkich komputerach i serwera w domenie powinien być jednakowy aby uniknąć różnych problemów z logowaniem lub uruchamianiem programów korzystających z sieci.
Jak ustawić synchronizacje czasu?
- W Active Directory używamy Usługą Czasu Systemu Windows do synchronizacji zegara: W32Time
- Wszystkie maszyny członkowskie synchronizują się z dowolnego kontrolera domeny,
- W domenie, wszystkie kontrolery domeny synchronizują się z PDC Emulator (Primary Domain Controlerr) z tej domeny: używając NT5DS
- Podstawowy kontroler domeny (PDC) powinien synchronizować z dowolnym kontrolerem domeny nadrzędnej: za pomocą protokołu NTP,(o ile mamy jakąś domenę nadrzędną w innym przypadku pkt 5)
- Emulator Podstawowego Kontrolera Domeny (PDC) domeny głównej w lesie należy zsynchronizować z zewnętrznym serwerem czasu (może być to urządzenie zegar, router, inny serwer autonomiczny, internetowym serwerem czasu ...
Ale w jaki sposób skonfigurować czas w moim Active Directory?
Cóż, to proste! Normalnie powinno być ustawione prawidłowo, o ile nie zmodyfikowaliśmy tego wcześniej.
W przeciwnym razie możemy zrobić zapewnić pewne narzędzia, które: w32tm.exe narzędzia wiersza polecenia i GPO
-
Korzystanie w32tm.exe
-
Uruchom następujące polecenie na emulatorze PDC:
w32tm / config / manualpeerlist: serwer czasu /syncfromflags:manual /reliable:yes /update
(gdzie serwer czasu jest -oddzielone spacją lista serwerów czasu.)
Gdy to zrobisz, uruchom ponownie usługę W32Time.
-
Uruchom następujące polecenie na wszystkich pozostałych DC (które nie są PDC):
w32tm /config /syncfromflags:domhier /update
Gdy to zrobisz, uruchom ponownie usługę W32Time.
-
-
Tworzenie globalnych ustawień GPO w celu wymuszenia synchronizacji czasu
- Utwórz GPO i połączyć go z jednostką organizacyjną Kontrolery domeny,
- Edytuj ustawienia : Konfiguracja komputera \ Szablony administracyjne \ System \ Windows \ czas, to globalne ustawienia konfiguracyjne
- W zależności od zastosowania, można pozostawić wartości domyślne.
-
Kontrola
-
- Można również sprawdzić, czy czas jest należycie ustawiany na PDC poprzez uruchomienie tego poleceniaw32tm.exe /resync /rediscover /no_wait, a następnie sprawdzić identyfikatory zdarzenia ID: 139
- Aby sprawdzić serwer źródła czasu: w32tm /query /status